Sécurité des serveurs et application web Mixte : présentiel / à distance

Les applications web constituent le point le plus vulnérable au sein des entreprises. Il n'est pas rare que des failles de sécurité donnent lieu, par exemple, à des vols de millions de numéros de cartes de crédit, à des dommages financiers, à d'importants impacts sur l'image, voire même à la compromission de milliers de machines d'internautes consultant le site web piraté. Cette formation présente les vulnérabilités classiques du Web à travers les tests d'intrusion et les moyens d'y remédier.

• Les enjeux de la sécurité web

• Les méthodes d'attaque sur le web et comment s'en protéger

• Les bases de la cryptographie, quand et comment l'utiliser

• Les méthodes d'authentification web

• Les bonnes pratiques de développement sécurisé

• Les techniques de protection des serveurs

• Développeur web

• Architecte d'application web ou de solutions de sécurité web (pare-feu applicatif…)

• Administrateur systèmes

• Pentester débutant

• Avoir une expérience dans le développement web ou des connaissances en réseaux et systèmes sont un plus

Introduction

• La sécurité informatique

• Cadre normatif et législatif

• Les différents types de menace et leurs évolutions

• Comprendre l'attaquant pour mieux se protéger

 

L'infrastructure web

• L'analyse de risques intégrée dans un projet

• Les spcécifications des exigences de sécurité liées aux spécifications d'un logiciel et de son infrastructure

• Les choix de design

• Architecture matérielle et applicative

• Découverte de l'environnement

Travaux pratiques : collecte d'information, scan réseau, transfert de zone, protection

 

Les protocoles du web

• Le protocole HTTP :

• Les méthodes de base
• Les entêtes
• Cookie, token et session
• Les failles du HTTP

• Les autres protocoles sur HTTP

Travaux pratiques : Proxy, exploitation d'un analyseur de réseau, configuration d'entêtes, attaques sur sessions

 

Sécurisation des données et des flux

• Eléments de cryptographie

• Chiffrement des flux de données

• Signature électronique, certificats

• Chiffrement des données

Travaux pratiques : récupération de mots de passes

 

L'authentification

• Méthodes d'authentification http :

• Basic
• Digest
• Formulaire HTML

• Méthodes d'authentification forte :

• Token PKI
• Certificat
• Autres méthodes

• Modèles de délégation

• Principes d'infrastructure Single Sign On

 

Les applications Web

• Les attaques par injection :

• Côté serveur (Commandes, LDAP, SQL…)
• Côté client (XSS)

• Les attaques par inclusion :

• Inclusions de fichiers locaux
• Inclusions de fichiers distants

• Durcissement des serveurs et des OS :

• Principes généraux sous Windows
• Principes généraux sous Linux

• Développement sécurisé

Travaux pratiques : configuration d'un serveur web, attaques courantes et contremesures

• Cours magistral illustré et approfondi par des travaux pratiques. Formation dispensée en français

• Supports de cours papier en français

• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification SECWEB Deloitte Cyber Academy.

Nos locaux sont accessibles aux personnes à mobilité réduite (PMR)